Sicherheit

Microsoft weitet KI-Schwachstellensuche auf Windows aus

3 Min. Lesezeit
Abstrakte geometrische Darstellung eines digitalen Schutzschilds aus vernetzten leuchtenden Knotenpunkten über einer stilisierten Code-Oberfläche Generiertes Bild mit GPT Image 2
Abstrakte geometrische Darstellung eines digitalen Schutzschilds aus vernetzten leuchtenden Knotenpunkten über einer stilisierten Code-Oberfläche

TL;DR Too Long; Didn’t read

Microsoft hat am 9. Juli 2026 im Windows Experience Blog angekündigt, KI-gestützte Schwachstellenerkennung und -behebung dauerhaft und breit über den gesamten Windows-Code auszurollen. Kern ist MDASH ("multi-model agentic scanning harness"), ein am 12. Mai 2026 vorgestelltes System aus über 100 spezialisierten KI-Agenten, das laut Microsoft beim Patch Tuesday im Mai 16 Schwachstellen fand, darunter zwei kritische Remote-Code-Execution-Lücken (CVE-2026-33824 in ikeext.dll, CVE-2026-33827 in tcpip.sys). Microsoft erwartet dadurch künftig mehr, aber gezieltere Sicherheitsupdates und rät zu risikobasiertem statt kalenderbasiertem Patch-Management. Menschliche Prüfung von Code und Freigaben bleibt laut Unternehmen Pflicht. Die Trefferzahlen und Benchmark-Werte stammen bislang ausschließlich von Microsoft selbst und sind unabhängig nicht verifiziert.

Das Wichtigste in Kürze

  • Microsoft hat am 9. Juli 2026 im Windows Experience Blog angekündigt, KI-gestützte Schwachstellenerkennung und -behebung auf ganz Windows auszuweiten, nicht mehr nur als Pilotprojekt.
  • Kernstück ist MDASH ("multi-model agentic scanning harness"), ein System aus über 100 spezialisierten KI-Agenten, das Microsofts Autonomous-Code-Security-Team am 12. Mai 2026 erstmals vorgestellt hatte.
  • Beim Patch Tuesday im Mai 2026 schrieb Microsoft laut eigenen Angaben 16 der behobenen Schwachstellen MDASH zu, darunter mindestens zwei kritische Remote-Code-Execution-Lücken in Windows-Netzwerk- und Authentifizierungskomponenten.
  • Microsoft erwartet künftig mehr, dafür aber gezieltere Sicherheitsupdates und rät Organisationen zu risikobasiertem statt starrem monatlichem Patch-Management.
  • Menschliche Prüfung bleibt laut Microsoft Pflicht: Code-Review, Risikoeinschätzung und Freigabe von Fixes liegen weiterhin bei Mitarbeitenden, abgesichert über das Security Update Validation Program und Known Issue Rollback.
  • Die von Microsoft veröffentlichten Benchmark- und Trefferzahlen zu MDASH sind bislang nicht unabhängig verifiziert; Berichte von BleepingComputer und Petri übernehmen im Kern Microsofts eigene Darstellung.

Microsoft hat am 9. Juli 2026 im Windows Experience Blog angekündigt, KI-gestützte Werkzeuge zur Schwachstellenerkennung und -behebung dauerhaft und breit in die Entwicklung von Windows zu integrieren. Bislang lief der Einsatz solcher Systeme eher punktuell; künftig soll er fester Bestandteil des Entwicklungsprozesses werden. Als direkte Folge kündigt das Unternehmen an, dass Kundinnen und Kunden mit einer höheren Zahl an Sicherheitsupdates rechnen sollten, weil mehr Schwachstellen gefunden werden, bevor sie ausgenutzt werden können.

Was Microsoft konkret ändert

Im Zentrum der Ankündigung steht MDASH, kurz für “multi-model agentic scanning harness”. Wie Microsoft im Security Blog beschreibt, orchestriert das System über 100 spezialisierte KI-Agenten aus einem Ensemble von Frontier- und destillierten Modellen. Anstatt ein einzelnes Modell für alle Aufgaben zu nutzen, durchläuft der Code eine fünfstufige Pipeline: Vorbereitung (Analyse von Quellcode und Bedrohungsmodellen), Scan (spezialisierte Prüf-Agenten identifizieren Kandidaten), Validierung (weitere Agenten bewerten Ausnutzbarkeit und Erreichbarkeit), Deduplizierung (inhaltlich gleiche Funde werden zusammengeführt) und schließlich Beweisführung, bei der das System aktiv Eingaben konstruiert, um einen Fehler dynamisch zu bestätigen.

Vorgestellt wurde MDASH bereits am 12. Mai 2026 von Taesoo Kim, bei Microsoft Vice President für Agentic Security, als Projekt des unternehmenseigenen Autonomous-Code-Security-Teams. Die Ankündigung vom 9. Juli macht daraus nun keinen Prototyp mehr, sondern einen festen Baustein der Windows-Sicherheitsarbeit.

Was MDASH bislang gefunden haben soll

Nach eigenen Angaben von Microsoft trug MDASH beim Patch Tuesday im Mai 2026 zu 16 der in diesem Monat behobenen Schwachstellen bei. Darunter waren nach übereinstimmenden Berichten mindestens zwei kritische Remote-Code-Execution-Lücken: CVE-2026-33824, ein Double-Free-Fehler in ikeext.dll im Rahmen von IKEv2, sowie CVE-2026-33827, ein Race-Condition-Fehler in tcpip.sys. Betroffen waren vor allem Komponenten des Windows-Netzwerk- und Authentifizierungsstacks. Zur genauen Aufteilung zwischen kritischen und weniger schweren Funden gibt es in den verfügbaren Quellen leicht abweichende Angaben; eine unabhängige, einheitliche Bestätigung der vollständigen Liste liegt nicht vor.

Zu den von Microsoft veröffentlichten Benchmark-Ergebnissen zählen unter anderem eine Erfolgsquote von 88,45 Prozent auf dem öffentlichen CyberGym-Testsatz mit 1.507 realen Schwachstellen sowie 21 von 21 korrekt erkannten, gezielt platzierten Schwachstellen in einem internen Testsystem ohne Fehlalarme. Diese Zahlen stammen ausschließlich vom Unternehmen selbst.

Was sich für Nutzer und Administratoren ändert

Microsoft rät Organisationen, von starren, kalenderbasierten Patch-Zyklen auf ein risikobasiertes, kontinuierliches Vorgehen umzusteigen. Empfohlen werden gestufte Rollout-Ringe, das frühzeitige Testen von Vorschau-Versionen sowie der Einsatz von Werkzeugen wie Windows Autopatch, Microsoft Intune, Azure Arc und Azure Update Manager. Als Sicherheitsnetz für den Fall fehlerhafter Updates verweist Microsoft auf die Funktion Known Issue Rollback, mit der problematische Änderungen zurückgenommen werden können, sowie auf interne Tests im Rahmen des Security Update Validation Program.

Microsoft betont dabei ausdrücklich, dass Menschen weiterhin die Verantwortung für Code-Review, Risikoeinschätzung und die endgültige Freigabe von Fixes tragen. KI-Systeme wie MDASH sollen Schwachstellen identifizieren und Vorschläge liefern, die abschließende Entscheidung bleibt aber bei den Windows-Entwicklungsteams.

Unabhängige Einordnung

Berichte von BleepingComputer und dem Petri IT Knowledgebase bestätigen die Grundzüge der Ankündigung, liefern aber keine eigene Verifikation der von Microsoft genannten Zahlen. Beide Artikel weisen darauf hin, dass weder eine Falsch-Positiv-Rate noch unabhängige Messungen zur tatsächlichen Beschleunigung der Schwachstellenerkennung vorliegen. BleepingComputer merkt zudem an, dass auch Angreifer zunehmend KI-Werkzeuge nutzen, um Schwachstellen zu finden und auszunutzen – ein Wettlauf, den die Microsoft-Ankündigung selbst nicht thematisiert.

Einordnung

Die Ankündigung reiht sich in einen breiteren Trend ein, bei dem große Softwareanbieter KI-Systeme zunehmend zur automatisierten Fehlersuche im eigenen Code einsetzen. Für Microsoft als Betreiber eines der am weitesten verbreiteten Betriebssysteme ist das ein Balanceakt: Mehr gefundene Schwachstellen bedeuten potenziell weniger Angriffsfläche, gleichzeitig aber auch mehr und häufigere Updates, die Administratorinnen und Administratoren einspielen müssen. Ob die von Microsoft berichteten Trefferquoten und die niedrige Fehlalarmrate auch unter unabhängiger Prüfung Bestand haben, ist bislang offen.

Häufige Fragen

Was hat Microsoft am 9. Juli 2026 angekündigt?

Microsoft kündigte im Windows Experience Blog an, KI-gestützte Werkzeuge zur Schwachstellenerkennung und -behebung fest in die Windows-Entwicklung zu integrieren, statt sie nur punktuell einzusetzen. Als Folge erwartet das Unternehmen künftig eine höhere Zahl an Sicherheitsupdates.

Was ist MDASH?

MDASH steht für "multi-model agentic scanning harness" – ein System, das laut Microsoft über 100 spezialisierte KI-Agenten in einer fünfstufigen Pipeline (Vorbereitung, Scan, Validierung, Deduplizierung, Beweisführung) orchestriert, um Schwachstellen im Code zu finden und zu bestätigen. Vorgestellt wurde es am 12. Mai 2026 von Taesoo Kim, Microsofts Vice President für Agentic Security.

Wie viele Schwachstellen hat MDASH bereits gefunden?

Laut Microsoft und übereinstimmenden Medienberichten schrieb das Unternehmen MDASH beim Patch Tuesday im Mai 2026 16 der behobenen Schwachstellen zu, darunter die kritischen Lücken CVE-2026-33824 (Ikeext.dll/IKEv2) und CVE-2026-33827 (tcpip.sys). Genaue, unabhängig geprüfte Zahlen zur Trefferquote oder Falsch-Positiv-Rate liegen nicht vor.

Bedeutet das, dass KI jetzt allein über Windows-Sicherheitsupdates entscheidet?

Nein. Microsoft betont, dass Code-Review, Risikobewertung und die endgültige Freigabe von Fixes weiterhin bei menschlichen Mitarbeitenden liegen. Zusätzlich sollen das Security Update Validation Program und die Known-Issue-Rollback-Funktion fehlerhafte Änderungen abfedern beziehungsweise rückgängig machen können.

Was sollten IT-Administratoren jetzt tun?

Microsoft empfiehlt, weg von starren, kalenderbasierten Patch-Zyklen hin zu risikobasiertem, kontinuierlichem Patch-Management zu wechseln – etwa mit gestuften Rollout-Ringen, Vorschau-Versionen und Werkzeugen wie Windows Autopatch, Microsoft Intune und Azure Update Manager.


← Zurück zum Blog